信息安全等級(jí)保護(hù)管理辦法
四部委下發(fā)公通字[2007]43號(hào)文
《信息安全等級(jí)保護(hù)管理辦法》是為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平��,維護(hù)國(guó)家安全��、社會(huì)穩(wěn)定和公共利益����,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法��。由四部委下發(fā)���,公通字200743號(hào)文�����。
目錄
第一章 總則
第一條
第二條
第三條
第四條
第五條
第二章 等級(jí)劃分與保護(hù)
第六條
第七條
第八條
第三章 等級(jí)保護(hù)的實(shí)施與管理
第九條
第十條
第十一條
第十二條
第十三條
第十四條
第十五條
第十六條
第十七條
第十八條
第十九條
第二十條
第二十一條
第二十二條
第二十三條
第四章 涉及國(guó)家秘密信息系統(tǒng)的
第二十四條
第二十五條
第二十六條
第二十七條
第二十八條
第二十九條
第三十條
第三十一條
第三十二條
第三十三條
第五章 信息安全等級(jí)保護(hù)的密碼管理
第三十四條
第三十五條
第三十六條
第三十七條
第三十八條
第三十九條
第六章 法律責(zé)任
第四十條
第四十一條
第七章 附則
第四十二條
第四十三條
第四十四條
展開
第一章 總則
第一條
第二條
第三條
第四條
第五條
第二章 等級(jí)劃分與保護(hù)
第六條
第七條
第八條
第三章 等級(jí)保護(hù)的實(shí)施與管理
第九條
第十條
第十一條
第十二條
第十三條
第十四條
第十五條
第十六條
第十七條
第十八條
第十九條
第二十條
第二十一條
第二十二條
第二十三條
第四章 涉及國(guó)家秘密信息系統(tǒng)的
第二十四條
第二十五條
第二十六條
第二十七條
第二十八條
第二十九條
第三十條
第三十一條
第三十二條
第三十三條
第五章 信息安全等級(jí)保護(hù)的密碼管理
第三十四條
第三十五條
第三十六條
第三十七條
第三十八條
第三十九條
第六章 法律責(zé)任
第四十條
第四十一條
第七章 附則
第四十二條
第四十三條
第四十四條
展開
編輯本段第一章 總則
第一條
為規(guī)范信息安全等級(jí)保護(hù)管理�,提高信息安全保障能力和水平�,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益��,保障和促進(jìn)信息化建設(shè)�����,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī),制定本辦法����。
第二條
國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民���、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)��,對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督���、管理。
第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督�、檢查、指導(dǎo)����。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查�����、指導(dǎo)����。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查�����、指導(dǎo)��。涉及其他職能部門管轄范圍的事項(xiàng)�,由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)����。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促�����、檢查���、指導(dǎo)本行業(yè)����、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)�����、使用單位的信息安全等級(jí)保護(hù)工作。
第五條
信息系統(tǒng)的運(yùn)營(yíng)��、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范��,履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任��。
第二章 等級(jí)劃分與保護(hù)
第六條
國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)����、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全��、經(jīng)濟(jì)建設(shè)�����、社會(huì)生活中的重要程度����,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序�、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定��。
第七條
信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí)�,信息系統(tǒng)受到破壞后,會(huì)對(duì)公民��、法人和其他組織的合法權(quán)益造成損害�,但不損害國(guó)家安全、社會(huì)秩序和公共利益�����。
第二級(jí)����,信息系統(tǒng)受到破壞后,會(huì)對(duì)公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害����,或者對(duì)社會(huì)秩序和公共利益造成損害���,但不損害國(guó)家安全���。
第三級(jí),信息系統(tǒng)受到破壞后��,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害��。
第四級(jí)����,信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害����,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí)����,信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害�����。
第八條
信息系統(tǒng)運(yùn)營(yíng)����、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理����。
第一級(jí)信息系統(tǒng)運(yùn)營(yíng)�����、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)���。
第二級(jí)信息系統(tǒng)運(yùn)營(yíng)�����、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)����。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。
第三級(jí)信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督�����、檢查�。
第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)��。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督�、檢查。
第五級(jí)信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)���。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督�����、檢查��。
第三章 等級(jí)保護(hù)的實(shí)施與管理
第九條
信息系統(tǒng)運(yùn)營(yíng)���、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。
第十條
信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的���,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)���。
跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)���。
對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)���、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審��。
第十一條
信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定����,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作�。
第十二條
在信息系統(tǒng)建設(shè)過程中,運(yùn)營(yíng)���、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)�����、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)���,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)��、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)�����、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)�、《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)���、《信息安全技術(shù) 服務(wù)器技術(shù)要求》���、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。
第十三條
運(yùn)營(yíng)��、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)����、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范��,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。
第十四條
信息系統(tǒng)建設(shè)完成后���,運(yùn)營(yíng)�、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)����,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)����。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)��,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)��。
信息系統(tǒng)運(yùn)營(yíng)��、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況���、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查�,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查�。
經(jīng)測(cè)評(píng)或者自查�����,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的����,運(yùn)營(yíng)�����、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改��。
第十五條
已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng)�����,應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)���,由其運(yùn)營(yíng)��、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)�。
新建第二級(jí)以上信息系統(tǒng)�,應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營(yíng)��、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位��,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)����,由主管部門向公安部辦理備案手續(xù)��?缡』蛘呷珖(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行����、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案�。
第十六條
辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí),應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》����,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明��;
���。ǘ┫到y(tǒng)安全組織機(jī)構(gòu)和管理制度;
�����。ㄈ┫到y(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;
���。ㄋ模┫到y(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證��、銷售許可證明�����;
�。ㄎ澹y(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告����;
(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見���;
��。ㄆ撸┲鞴懿块T審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見��。
第十七條
信息系統(tǒng)備案后���,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核�����,對(duì)符合等級(jí)保護(hù)要求的�����,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明����;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的��,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正�����;發(fā)現(xiàn)定級(jí)不準(zhǔn)的���,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定���。
運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后�,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案����。
第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)�����、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)����、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查�����。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次��,對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次�。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行�。
對(duì)第五級(jí)信息系統(tǒng),應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢查�。
公安機(jī)關(guān)、國(guó)家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查:
�。ㄒ唬 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級(jí)是否準(zhǔn)確����;
��。ǘ 運(yùn)營(yíng)�、使用單位安全管理制度���、措施的落實(shí)情況����;
�。ㄈ 運(yùn)營(yíng)、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況����;
(四) 系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求��;
���。ㄎ澹 信息安全產(chǎn)品使用是否符合要求����;
��。 信息系統(tǒng)安全整改情況;
��。ㄆ撸 備案材料與運(yùn)營(yíng)���、使用單位、信息系統(tǒng)的符合情況����;
(八) 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)����。
第十九條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)�����、國(guó)家指定的專門部門的安全監(jiān)督��、檢查���、指導(dǎo)��,如實(shí)向公安機(jī)關(guān)��、國(guó)家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件:
���。ㄒ唬 信息系統(tǒng)備案事項(xiàng)變更情況��;
�。ǘ 安全組織�、人員的變動(dòng)情況;
�����。ㄈ 信息安全管理制度��、措施變更情況�����;
���。ㄋ模 信息系統(tǒng)運(yùn)行狀況記錄�����;
��。ㄎ澹 運(yùn)營(yíng)�����、使用單位及主管部門定期對(duì)信息系統(tǒng)安全狀況的檢查記錄����;
�。 對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告;
�。ㄆ撸 信息安全產(chǎn)品使用的變更情況;
���。ò耍 信息安全事件應(yīng)急預(yù)案��,信息安全事件應(yīng)急處置結(jié)果報(bào)告�����;
�。ň牛 信息系統(tǒng)安全建設(shè)����、整改結(jié)果報(bào)告����。
第二十條
公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的����,應(yīng)當(dāng)向運(yùn)營(yíng)、使用單位發(fā)出整改通知����。運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)整改通知要求�����,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改��。整改完成后�,應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)�����,公安機(jī)關(guān)可以對(duì)整改情況組織檢查�。
第二十一條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制�����、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的�,在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格;
����。ǘ┊a(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)���;
(三)產(chǎn)品研制���、生產(chǎn)單位及其主要業(yè)務(wù)����、技術(shù)人員無(wú)犯罪記錄��;
����。ㄋ模┊a(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞���、后門����、木馬等程序和功能;
����。ㄎ澹⿲(duì)國(guó)家安全、社會(huì)秩序��、公共利益不構(gòu)成危害�����;
�。⿲(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書��。
第二十二條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng):
�����。ㄒ唬 在中華人民共和國(guó)境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外)���;
�。ǘ 由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位(港澳臺(tái)地區(qū)除外)��;
�����。ㄈ 從事相關(guān)檢測(cè)評(píng)估工作兩年以上���,無(wú)違法記錄�;
�。ㄋ模 工作人員僅限于中國(guó)公民;
���。ㄎ澹 法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄�;
(六) 使用的技術(shù)裝備�����、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求�����;
(七) 具有完備的保密管理���、項(xiàng)目管理����、質(zhì)量管理��、人員管理和培訓(xùn)教育等安全管理制度���;
�。ò耍 對(duì)國(guó)家安全��、社會(huì)秩序����、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)�,應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)����,提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)��,保證測(cè)評(píng)的質(zhì)量和效果��;
����。ǘ┍J卦跍y(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私�,防范測(cè)評(píng)風(fēng)險(xiǎn);
���。ㄈ⿲(duì)測(cè)評(píng)人員進(jìn)行安全保密教育����,與其簽訂安全保密責(zé)任書�����,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任����,并負(fù)責(zé)檢查落實(shí)�����。
第四章 涉及國(guó)家秘密信息系統(tǒng)的
分級(jí)保護(hù)管理
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)����,結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。
非涉密信息系統(tǒng)不得處理國(guó)家秘密信息�����。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級(jí)����,由低到高分為秘密、機(jī)密����、絕密三個(gè)等級(jí)。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上���,依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)�。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)�,各安全域可以分別確定保護(hù)等級(jí)。
保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確���、合理地進(jìn)行系統(tǒng)定級(jí)����。
第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況,及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案�,并接受保密部門的監(jiān)督、檢查����、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施���。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,按照秘密��、機(jī)密���、絕密三級(jí)的不同要求�����,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)��,實(shí)施分級(jí)保護(hù)�,其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)�、第四級(jí)、第五級(jí)的水平�����。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)品�����,并應(yīng)當(dāng)通過國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè)����,通過檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后�����,應(yīng)當(dāng)向保密工作部門提出申請(qǐng)���,由國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》�����,對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)���。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前�����,應(yīng)當(dāng)按照《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》�����,向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批����,涉密信息系統(tǒng)通過審批后方可投入使用��。已投入使用的涉密信息系統(tǒng)���,其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后�,應(yīng)當(dāng)向保密工作部門備案�����。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)����,應(yīng)當(dāng)提交以下材料:
�。ㄒ唬┫到y(tǒng)設(shè)計(jì)�、實(shí)施方案及審查論證意見;
�。ǘ┫到y(tǒng)承建單位資質(zhì)證明材料��;
���。ㄈ┫到y(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告��;
��。ㄋ模┫到y(tǒng)安全保密檢測(cè)評(píng)估報(bào)告�;
�����。ㄎ澹┫到y(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況���;
�。┢渌嘘P(guān)材料��。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級(jí)�����、連接范圍、環(huán)境設(shè)施�、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)�,其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況����,決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。
第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》���,加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理�,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,消除泄密隱患和漏洞��。
第三十三條
國(guó)家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)�����、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理,并做好以下工作:
����。ㄒ唬┲笇(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展�����;
��。ǘ┲笇(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密����,合理確定系統(tǒng)保護(hù)等級(jí)�;
(三)參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證�,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì);
����。ㄋ模┮婪▽(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理;
�。ㄎ澹﹪(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況�;
(六)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)����、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng),對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)��;
���。ㄆ撸┝私庹莆崭骷(jí)各類涉密信息系統(tǒng)的管理使用情況�����,及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件���。
第五章 信息安全等級(jí)保護(hù)的密碼管理
第三十四條
國(guó)家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全�����、社會(huì)穩(wěn)定�、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度����,被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級(jí)保護(hù)準(zhǔn)則。
信息系統(tǒng)運(yùn)營(yíng)�����、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的��,應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》�、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。
第三十五條
信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備���、使用和管理等�����,應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運(yùn)營(yíng)�����、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)�。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批��,密碼的設(shè)計(jì)���、實(shí)施�、使用、運(yùn)行維護(hù)和日常管理等���,應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行�����;采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的�,須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)���,其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案�。
第三十七條
運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的�����,必須采用經(jīng)國(guó)家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)��,不得采用國(guó)外引進(jìn)或者擅自研制的密碼產(chǎn)品��;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品����。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)�,其他任何部門�、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。
第三十九條
各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備���、使用和管理的情況進(jìn)行檢查和測(cè)評(píng)�,對(duì)重要涉密信息系統(tǒng)的密碼配備���、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)��。在監(jiān)督檢查過程中���,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置。
編輯本段第六章 法律責(zé)任
第四十條
第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機(jī)關(guān)�����、國(guó)家保密工作部門和國(guó)家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正���;逾期不改正的,給予警告��,并向其上級(jí)主管部門通報(bào)情況,建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理���,并及時(shí)反饋處理結(jié)果:
�����。ㄒ唬 未按本辦法規(guī)定備案����、審批的�;
(二) 未按本辦法規(guī)定落實(shí)安全管理制度����、措施的;
�。ㄈ 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
�����。ㄋ模 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測(cè)評(píng)的�����;
(五) 接到整改通知后����,拒不整改的;
���。 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的���;
(七) 未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的���;
�����。ò耍 違反保密管理規(guī)定的�����;
���。ň牛 違反密碼管理規(guī)定的��;
(十) 違反本辦法其他規(guī)定的��。
違反前款規(guī)定��,造成嚴(yán)重?fù)p害的��,由相關(guān)部門依照有關(guān)法律��、法規(guī)予以處理����。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守�、濫用職權(quán)、徇私舞弊的��,依法給予行政處分����;構(gòu)成犯罪的,依法追究刑事責(zé)任�。
第七章 附則
第四十二條
已運(yùn)行信息系統(tǒng)的運(yùn)營(yíng)、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí)����;新建信息系統(tǒng)在設(shè)計(jì)����、規(guī)劃階段確定安全保護(hù)等級(jí)���。
第四十三條
本辦法所稱“以上”包含本數(shù)(級(jí))��。
第四十四條
本辦法自發(fā)布之日起施行�,《信息安全等級(jí)保護(hù)管理辦法(試行)》(公通字[2006]7號(hào))同時(shí)廢止�。
(聲明:本站所使用圖片及文章如無(wú)注明本站原創(chuàng)均為網(wǎng)上轉(zhuǎn)載而來(lái),本站刊載內(nèi)容以共享和研究為目的���,如對(duì)刊載內(nèi)容有異議����,請(qǐng)聯(lián)系本站站長(zhǎng)�����。本站文章標(biāo)有原創(chuàng)文章字樣或者署名本站律師姓名者��,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必注明出處和作者�����,否則將追究其法律責(zé)任��。) |
